Frankie777
Advanced Hacker
Hallo,
ist folgender Aufbau OK?
1.) man verbietet alles
2.) per state established ACCEPT läßt man nur Pakete zu, bei denen eine Verbindung bereits besteht
3.) dann per state NEW prüfen ob Paket z.B. TCP an dport 80 geht, wenn ja ACCEPT
4.) alles was jetzt noch übrig ist wegwerfen
Invalid-Pakete und "iptables -A INPUT -p tcp ! --syn -m state --state NEW -j DROP" werden sonderbehandelt.
Gibt es noch weitere wichtige Sonderbehandlungen, die o.g. Vorgehensweise aushebeln können?
Ist so ein Sriptaufbau grundsätzlich OK?
Hatte ich das richtig verstanden, daß die Time-Out Werte für established Verbindungen im kernel einkompiliert sind?
danke, Gruss Frank
ist folgender Aufbau OK?
1.) man verbietet alles
2.) per state established ACCEPT läßt man nur Pakete zu, bei denen eine Verbindung bereits besteht
3.) dann per state NEW prüfen ob Paket z.B. TCP an dport 80 geht, wenn ja ACCEPT
4.) alles was jetzt noch übrig ist wegwerfen
Invalid-Pakete und "iptables -A INPUT -p tcp ! --syn -m state --state NEW -j DROP" werden sonderbehandelt.
Gibt es noch weitere wichtige Sonderbehandlungen, die o.g. Vorgehensweise aushebeln können?
Ist so ein Sriptaufbau grundsätzlich OK?
Hatte ich das richtig verstanden, daß die Time-Out Werte für established Verbindungen im kernel einkompiliert sind?
danke, Gruss Frank